IT-Matchmaker news

In vier Schritten zum Vendor Risk Management

Die Supply Chain bietet Angriffspunkte für Cyberattacken, die weitreichende Schäden verursachen können. Unternehmen sollten daher ihre Lieferanten in das Risikomanagement einbeziehen. Die Spezialisten von Kudelski Security haben einen Leitfaden dafür zusammengestellt.

digitaler Einkauf
Quelle: peshkova | Adobe Stock

Sicherkeitsleck: „Über die Sicherheitsmaßnahmen, die bei externen Partnern wie beispielsweise IT-Anbietern, Teilelieferanten und Personaldienstleistern zum Einsatz kommen, haben Unternehmen nur begrenzte Kontrolle“, erklärt Philippe Borloz, Vice President Sales EMEA bei Kudelski Security. „Daher wird jeder erfolgreiche Angriff auf Partner auch zu einer potenziellen Gefahr für dessen Kunden und Partner.“ Die Notwendigkeit des Risikomanagements ist für jedes Unternehmen von grundlegender Bedeutung. Je komplexer die Lieferkette ist und je mehr Dritte ihr angehören, desto höher das Risiko.

Die Liste der geschäftssensiblen Daten, zu denen externe Dritte potenziell Zugang erhalten können, ist lang – von Geschäftsgeheimnissen und geistigem Eigentum bis hin zu persönlichen Daten oder Unternehmensrichtlinien. Diese Daten sind gefährdet, wenn Lieferanten nicht über angemessene Sicherheits- und Datenschutzvorkehrungen verfügen. Kudelski skizziert in vier Schritte die Basis eines Programms für das Vendor Risk Management, das auf Best Practices zum Schutz sämtlicher digitalen und physischen Assets eines Unternehmens beruht.

1. Cybersicherheitsrisiken innerhalb der Lieferkette identifizieren

Die Identifizierung von Risiken innerhalb einer Lieferkette und der Lieferantenlandschaft eines Unternehmens beginnt mit dem Aufbau eines Inventars von Lieferanten und deren Einordnung in Risikostufen. Dazu gilt es, die Verbindungen der jeweiligen Lieferanten mit sämtlichen internen Daten, Systemen und Netzwerken sowie sämtliche Erfahrungen im bisherigen Kontakt zu bewerten.

Sind die Cybersicherheitsrisiken eines Lieferanten erkannt und bewertet, kann ein Cybersicherheitsprogramm starten, das unbedingt in das Lieferantenmanagement des Unternehmens integriert werden sollte. Beim Aufbau eines solchen Programms für das Vendor Risk Management ist eine enge Kooperation zwischen dem Beschaffungswesen und der Rechtsabteilung geboten. Bei der Auswahl neuer Lieferanten sowie bei der Verhandlung und dem Vertragsabschluss empfiehlt es sich, Sicherheit und Datenschutz als Punkte in die Verträge einzubeziehen. So entsteht ein konsistentes System, das sämtliche kritischen Bereiche einschließlich finanzieller Rentabilität, Sicherheit und Einhaltung von Gesetzen berücksichtigt.

2. Flexible Monitoringprogramme für Lieferanten

Zur Bewertung und Überwachung von Lieferanten hinsichtlich ihres Cybersicherheitsrisikos gibt es viele Möglichkeiten. Bei der Ausgestaltung des Programms empfiehlt sich ein flexibles Vorgehen auf Basis eines risikobasierten Ansatzes. Anbieter mit höherem Risiko erfordern engmaschigere Sicherheitsmaßnahmen wie beispielsweise das Ausfüllen von Sicherheitsfragebögen, Vor-Ort-Besuche oder -Audits oder Sicherheitszertifizierungen. Unternehmen sollten den Umfang der nachgefragten Daten mit Blick auf das Risikomanagement begrenzen und nur relevante Informationen sammeln.

Zur effizienten Verwaltung des Vendor Risk Management-Programms sind Automatisierungslösungen verfügbar. Die meisten dieser Lösungen operieren als Software-as-a-Service. Viele von ihnen beinhalten Informationen über die Cybersicherheitsprofile, die finanzielle Lage und das Geschäftsgebaren eines Lieferanten als Ergänzung zu anderen häufig verwendeten Bewertungsmethoden wie Sicherheitsfragebögen und Vor-Ort-Audits. Auch die Integration mit Beschaffungssystemen, Service-Management-Tools und ERP-Lösungen (Enterprise Resource Planning) wird nach und nach zum Standard.

Gartner listet Vendor Risk Management-Programme als eigene Softwarekategorie, die sich stetig weiterentwickelt. Es entstehen Angebote, die das Vendor Risk Management als Service beinhalten und die Administration signifikant erleichtern. Inzwischen gibt es mehrere Lösungen zum gemeinsamen Bewerten der Risiken. Diese verringern die Belastung für Lieferanten, die ansonsten Hunderte von Fragebögen ausfüllen müssten. Da viele Lieferanten ihren Kunden die Gewissheit geben wollen, dass ihre Sicherheitsprogramme anerkannten Industriestandards entsprechen, gewinnen Zertifizierungsprogramme an Bedeutung.

3. Krisenreaktionsplan für Vorfälle bei einem Lieferanten

Ist ein Lieferant von einem Datenleck oder einem anderen sicherheitskritischen Vorfall betroffen, kann sich das auch auf das Geschäft seiner Kunden auswirken. Die Notfallmaßnahmen sollten daher das Risikomanagement des Lieferanten in die unmittelbare Krisenreaktion einbeziehen. Dazu müssen die Cybersicherheitsanforderungen an Geschäftspartner festlegen, wie schnell ein Kunde über eine potenzielle Sicherheitsverletzung oder einen Vorfall zu informieren ist. Die Playbooks zur Reaktion auf Vorfälle sollten zudem Maßnahmen benennen, die im Ernstfall zu ergreifen sind. Die Reaktionspläne und Simulationsszenarien sollten insbesondere jene Lieferanten mit kritischem Status für die eigene Sicherheit beinhalten.

4. Sensibilisierung der Unternehmensleitung für das Vendor Risk Management

Das Management Programm sollte Dashboards und Metriken enthalten, die das Risiko, das durch Dritte entsteht, messen und als Bericht aufbereiten. Vorstand und Aufsichtsrat haben diesbezüglich einen zunehmend hohen Informationsbedarf. Daher sollte das Programm die Kennzahlen der darin aufgenommenen Lieferanten, den Anteil derer mit höherem Risiko, die evaluiert oder unter ständiger Überwachung stehen, sowie die erzielte Risikoreduzierung erfassen. Jürgen Frisch

Der Autor

Verwandte Artikel

Der IT-Matchmaker® Newsletter erscheint alle 14 Tage und informiert Sie über Neues und Interessantes rund um den Einsatz von Business Software.

Aktuelle Marktübersichten

IT-Matchmaker®.guide KI-Lösungen für Business Software 2026

IT-Matchmaker®.guide ERP-Lösungen 2026

IT-Matchmaker®.guide Industrie 4.0 Lösungen 2026

Abschluss der Webinaranmeldung

Ihre gewählten Webinare

Information

Vielen Dank für Ihre Webinaranmeldung.

Wir prüfen die Verfügbarkeit und senden Ihnen in Kürze eine Mail mit den Webinardaten.

Anmeldung Webinare

Sie haben die folgenden Webinare ausgewählt:

Sie wollen Sich für mehrere Webinare gleichzeitig anmelden? Dann klicken Sie auf 'Weitere Webinare anzeigen‘ und setzen für jeden Termin einen Haken.

Bitte geben Sie Ihre E-Mail-Adresse an. Wir schicken Ihnen einen Bestätigungslink per Mail. Bitte folgen Sie diesem Link, um die Anmeldung abzuschließen. Der Link verliert seine Gültigkeit nach 3 Tagen.

Information

Vielen Dank. Sie erhalten in Kürze eine E-Mail mit dem Link zur Vollendung der Anmeldung für unser Webinar.

Fehler

Der Link ist nicht mehr gültig

Bitte starten Sie die Registrierung / Anmeldung erneut.

Information

Alle Downloads sind jetzt freigeschaltet.

Wir haben Ihnen soeben einen Freischaltlink geschickt, mit dem Sie in Zukunft ohne erneute Registrierung auf alle Downloads zugreifen können.

Abschluss der Registrierung
Download-Freischaltung

Bitte geben Sie Ihre E-Mail-Adresse an. Wir schicken Ihnen einen Bestätigungslink per Mail. Bitte folgen Sie diesem Link, um die Registrierung abzuschließen. Der Link verliert seine Gültigkeit nach 3 Tagen.

Information

Vielen Dank. Sie erhalten in Kürze eine E-Mail mit dem Link zum Abschluss der Registrierung für unser Download-Center.